5.分析sub_4057A4后续删除功能
接着我们继续分析,由于之前进行了重命名操作,所以代码的可读性更好了,从0x00408079位置下面的代码我们都能看懂。
0x0040807E test al, al 0x00408086 push 80h 0x 004080C5 call SetFileAttributesA
它会根据上一段代码的查找结果进行判定al,即如果当前目录下Desktop_.ini文件存在,那么就会调用SetFileAttributesA函数。该函数会改变他的属性,将它的属性改为80h所代表的值,即该文件的文件属性调整为NORMAL(正常属性)。
继续往下看, 调用了一个Sleep函数停止1毫秒。停止1毫秒之后,它接着调用DeleteFileA函数将Desktop_.ini删除。正常来讲,病毒还没有运行的时候,这个Desktop_.ini文件应当是不存在的;如果存在的话,病毒首先会改变这个文件的属性,再将这个病毒给删除掉。
push 1 call Sleep call DeleteFileA
这里看到一个未知函数sub_4040CC,它的参数是[ebp+var_3C4],事实上3C4就是文件的路径。将文件路径赋值给EAX,我们进入sub_4040CC函数。发现其功能:
验证EAX是否存在,即判定文件的路径是否为空
如果文件不存在它会直接执行loc_408110位置的函数,sub_4040CC其实就是一个验证机制,在IDA中按下ESC返回,我们给它进行重命名。
总结,重命名及对应功能如下:
- sub_4040CC -> CheckPathIsExist
- 功能:检测文件的路径是否存在
6.sub_4078E0子函数
我们接着分析下一个函数
0x00408126 call sub_4078E0
第一步,我们在IDA中大致看下函数的内容。
我们可以看到这个函数非常的长,且也调用了很多其它的函数,那么看上去很难分析清楚这个函数到底是做什么的。这里我们先不管其具体的实现细节,只看看该函数执行完后,这些参数或寄存器位置发生了什么变化,主要关注该函数执行前后,程序使用了哪些寄存器。
第二步,打开OD跳转到40811D位置,按下F2增加断点,再按F9执行过来。
注意,病毒逆向分析就是调用IDA和OD反复调试的过程。
第三步,在OD中分析具体代码。
- mov eax, dword ptr ss:[ebp-0x3CC]
- lea edx, dword ptr ss:[ebp-0x4]
- call 004078E0
首先它是将EBP-3CC赋值给EAX,再将EBP-4赋值给EDX,调用call函数。
我们现在按F8来步过这个call函数,再观察数据窗口中存在什么变化。可以看到执行完call函数后,这个函数用了很大一片区域写入了非常多看似无意义的字符,结合右边的ASCII码,可以将这些内容理解为暴力P解的字典。
- 病毒的编写者企图利用暴力P解的方式来攻破计算机中某些验证机制
我们F8步过这个函数看一下数据窗口的数据变化
当然这些内容还是非常多的,病毒作者也写入了很多其他信息,有兴趣的作者可以好好分析下。这些信息有助于我们获取病毒的行为信息,只有当我们深入分析其原理和实现过程,才有助于我们获取病毒的行为信息。
总结,重命名及对应功能如下:
- sub_4078E0 -> WriteVirusInfoToMem
- 功能:写入病毒信息到内存中,病毒作者企图利用暴力P解的方式,来攻破计算机中的某些验证机制
![[病毒分析]熊猫烧香(中)病毒释放机理(二)](https://ucc.alicdn.com/pic/developer-ecology/0dfccfeb1fcf4a2fbd9d0b205189dfce.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(中)病毒释放机理(一)](https://ucc.alicdn.com/pic/developer-ecology/26963fb376d849a6a01faac00ad5412f.png?x-oss-process=image/resize,h_160,m_lfit)
![[病毒分析]熊猫烧香(中)病毒释放机理(四)](https://ucc.alicdn.com/pic/developer-ecology/8eeedf48702a431180a3226323ad6ed9.png?x-oss-process=image/resize,h_160,m_lfit)
